安全研究员Ben Zimmermann发现39个Algolia管理密钥暴露在开源文档网站中，这些密钥拥有完全权限。此前他曾报告Vue.js网站泄露类似密钥。问题源于Algolia的DocSearch服务在提供搜索API密钥时，部分网站错误配置了具有完全管理权限的密钥。

我发现39个Algolia管理员密钥在开源文档网站中暴露

2026年3月13日，安全研究员Ben Zimmermann发表文章披露，他在开源文档网站中发现了39个具有完全权限的Algolia管理员API密钥。

事件起因于去年10月，作者在vuejs.org发现了一个暴露的Algolia管理员API密钥。该密钥具有完全权限，包括添加/删除对象、删除索引、编辑设置等。这一发现促使作者思考：其他使用DocSearch的网站是否也存在同样问题？

调查方法： 1. 通过Algolia公开的docsearch-configs仓库（包含3500多个网站配置）作为目标列表 2. 爬取约15000个文档网站，使用正则表达式提取嵌入的凭证 3. 对500多个文档仓库进行GitHub代码搜索和TruffleHog扫描

调查结果： - 共发现39个活跃的管理员密钥 - 35个通过前端爬取发现，4个通过git历史记录发现 - 受影响项目包括Home Assistant（8.5万GitHub星标）、KEDA（CNCF项目）等知名开源项目

风险分析： 这些密钥几乎都具备以下权限： - 搜索、添加/修改/删除记录 - 删除整个索引 - 修改索引设置 - 浏览和导出所有索引内容 攻击者可利用这些密钥篡改搜索结果、植入恶意链接，甚至完全删除搜索索引。

披露情况： - 部分项目（如SUSE/Rancher）已响应并更换密钥 - Home Assistant开始修复，但原密钥仍活跃 - 作者几周前已邮件通知Algolia，但截至发稿未获回复

根本原因： 虽然Algolia DocSearch项目本应提供只读密钥，但许多网站使用自行运行的爬虫程序，错误地将具有写入权限的管理员密钥配置在前端。

建议解决方案： 使用DocSearch的网站应检查前端配置中的密钥，确保其仅为搜索权限。作者表示，通过简单脚本就能发现39个密钥，实际受影响数量可能更高。

评论总结：

1. API密钥安全问题

• 提醒将密钥提交到GitHub Gist可能导致快速失效（评论1："if you commit these to a Github Gist...they'll rapidly be invalidated"）
• 惊讶于已有大量人在使用这些API密钥（评论2："Interesting how many people already are playing with these API keys"）

2. 文档和可视化问题

• 质疑为何HomeAssistant文档页面未被删除（评论3："why hasn't the HomeAssistant docs page been nuked yet?"）
• 批评图表不必要且误导（评论4："talk about unnecessary graphs...showing the popularity, not vulnerabilities"）

3. 自动化攻击与厂商责任

• 开发者正在开发自动化攻击工具（评论5："developing an OpenClaw-like agent that automates this type of attack"）
• 强烈批评Algolia对安全警告无响应（评论6："algolia just not responding...thats way worse than the keys themselves"）